Apesar de todas as indicações de que a cibersegurança é uma prioridade das empresas, menos de 50% das empresas possuem uma posição de CSO representada no board executivo. Os CEOs estão familiarizados com os termos e os problemas que podem surgir de um incidente de segurança grave, mas ainda não estão levando a questão a sério o suficiente.

Essa constatação surge a partir de uma pesquisa realizada no final de 2018 pela Thycotic, uma consultoria da União Europeia. A pesquisa foi realizada com 200 CSOs da Inglaterra e Alemanha, de empresas do segmento small enterprise (mínimo de 1.000 usuários). De acordo com a Thycotic, o que foi descoberto nessa pesquisa pode ser extrapolado para outras regiões.

Enquanto os boards executivos aceitaram que a cibersegurança deve ser uma prioridade, eles permaneceram muito reativos com relação ao suporte e investimento na área. De acordo com os CSOs, eles dificilmente conseguem cumprir os objetivos traçados para eles mesmos e para a empresa. Em suma, o board continua enxergando a segurança como algo reativo, um custo, e não como inovação ou uma estratégia de negócios.

 

Visão Negativa da Cibersegurança

Mais de 60% dos entrevistados acreditam que o C-Level considera que o papel do CSO é basicamente defensivo e reativo. Apenas 37% acreditam que o C-Level enxerga a segurança como uma força positiva para o negócio, possibilitando crescimento seguro e ganhando vantagens competitivas. O cenário não é melhor com o staff corporativo: quase ¾ (74%) relataram negatividade ou indiferença com a introdução de novas políticas e medidas de segurança. 35% dos funcionários acreditam que a segurança atrapalha seu trabalho, outros 39% nem chegaram a notar mudanças realizadas.

Essa visão negativa, que vai desde o board executivo até os funcionários da empresa inibe o potencial que as equipes de segurança possuem, desempenhando seu verdadeiro papel de possibilitar a expansão e o funcionamento do negócio de forma segura. A solução para essa questão tende a partir dos próprios CSOs e dos gigantes do setor. Os CSOs devem mudar sua relação com o board, enquanto os gigantes do setor devem aproveitar todas as oportunidades para firmar a segurança como um processo a ser feito de cima para baixo, e não o contrário.

Considere outros executivos do C-Level. Normalmente eles possuem mais reconhecimento que o CSO, estão mais acima na hierarquia e tem mais probabilidade de ter um assento no board. O RH permite uma equipe funcionando bem, o CFO controla os fluxo da empresa de forma que ela possa continuar operando, o CRO protege a empresa e suas propriedades, até mesmo o CIO é visto como fundamental para que os processos de negócio continuem operando. A segurança por sua vez é visto como a área que não deixa os novos processos acontecerem, ou dificulta o que já é feito, isso deve mudar.

Contudo, devemos lembrar que a posição de CSO não é fácil. Originalmente, essa posição era uma extensão do departamento de TI. Na maioria dos casos, CIO e CSO devem trabalhar de forma próxima, ainda hoje é comum que hierarquicamente o CSO responda para o CIO. Em empresas com menos maturidade de segurança, o CIO ainda executa algumas funções de CSO, já que a posição não existe.

Apesar dessa proximidade com o CIO, nos últimos anos o papel do CSO vem mudando, deixando de ser uma posição puramente técnica dentro do departamento de TI caminhando para se tornar um gerenciador de riscos dos ativos de informação. Como resultado, o CSO se encontra hoje entre conhecimentos técnicos de TI e conhecimentos de negócio, como é o caso de um CRO (Chief Risk Officer).

 

Revertendo o Cenário

Ao passo em que o CSO precisa se envolver mais com o negócio, para que o negócio tenha mais engajamento com a segurança, o CSO precisa fazer essa mudança, sair de um cenário técnico para um cenário de processos de negócio.

A chave para conseguir realizar essa mudança está em adotar uma abordagem positiva de relatórios. Podemos pensar no Shadow IT como exemplo, a visão comum é que a segurança quer interromper os usuários de usarem as aplicações em nuvem que eles querem. Essa visão pode ser revertida, sendo que a segurança pode estar presente para permitir que os funcionários usem as aplicações de forma segura, mudando a percepção dos funcionários e da empresa.

Por fim, as equipes de segurança devem trabalhar pesado para comunicar a importância estratégica do seu papel para o negócio, além de se reinventarem como facilitadores ao invés de empecilhos para que o negócio funcione de forma correta. Enquanto o CSO não começar a lidar e não for medido por sucesso em objetivos do negócio, ele vai  permanecer na base da hierarquia C-Level.